Переход на HTTPS. Зачем это нужно?

23.12.2016 18:20:00
20161223T182000Z
20161226T141135Z

Что такое HTTPS и для чего это нужно

Начиная с 2017 года браузер Google Chrome будет помечать веб-сайты, которые используют HTTP-подключение, как небезопасные, а Яндекс.Браузер уже сейчас активно начал это применять. 

blog-image-2.png

Сначала предупреждения будут всплывать на сайтах, в которых есть поля для ввода пароля или данных банковских карт, затем изменения распространятся на все сайты, работающие по HTTP-подключению, в том числе в режиме “Инкогнито”. Кроме того, сайты на HTTPS будут ранжироваться в поисковой выдаче выше, нежели сайты HTTP.

Эти изменения в работе браузера будут сделаны с целью обезопасить пользователей от хищения их личных данных, ведь HTTP - небезопасное подключение.


В чем же разница между HTTP и HTTPS?


HTTP - (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») - простой протокол передачи данных, используемый для получения информации с веб-сайтов. Этот протокол передает данные незащищенными, из-за чего данные пользователя (пароль, данные банковских карт) могут быть перехвачены злоумышленниками.


HTTPS - это расширения протокола HTTP, шифрующее данные. Шифрование происходит посредством протокола SSL - протокола, обеспечивающего защищенную передачу информации. Протокол SSL упаковывает ваши данные в надежную зашифрованную оболочку и передает данные на сервер.


Для уверенности в получателе вашей информации на сервере должен быть установлен доверенный SSL-сертификат.  SSL-сертификат по сути является электронным документом, подтверждающим существование лица, которому вы передаете свои данные и принадлежность данного сервера этому лицу. SSL-сертификаты выдаются центрами сертификации, которые выступают в роли своеобразных паспортных столов. В сертификате содержатся данные о его владельце, в том числе имя (или название организации), а также подпись, удостоверяющая подлинность сертификата. Таким образом, при HTTPS-подключении первое, что делает браузер - это проверка подлинности сертификата, и обмен данными происходит только при успешной проверке.


Далее обмен данными происходит по следующей схеме: на ваши данные вешается своеобразный замок, ключ от которого есть только у вас.  Данные доходят до нужного сервера, который также вешает на ваши данные свой замок. Данные передаются обратно вам, вы отпираете свой замок своим ключом и передаете информацию обратно на сервер, который отпирает свой замок и получает данные. Таким образом никто не перехватит ваши данные в пути “браузер-сервер”.


orig (1).png




SSL-сертификаты бывают доверительными (Trusted) и недоверительными или самоподписанными (Self-Signed).


  • Самоподписанные. Такие сертификаты никем не подтверждены и не гарантируют защищенность данных. Все браузеры выдают предупреждение об опасности такого соединения.

  • Подписанный доверенным Центром Сертификации. Данные сертификаты проверены компанией, которая имеет право на осуществление такой деятельности.

Существуют центры сертификации, которые продают сертификаты без необходимых проверок, сертификаты, выданные такими СЦ, считаются подписанными недоверенным центром сертификации, и браузер реагирует на них аналогично самоподписанным.


SSL-сертификаты могут быть нескольких типов:


Essential SSL — самый недорогой и быстро оформляемый сертификат. Доступен как для юридических, так и для физических лиц. Проверяется только право владения доменным именем, личные данные или регистрация компании не проверяются. Выдается на 1 домен. В браузере отображается желтой строкой, что не вызывает должного доверия пользователей.


Instant SSL — доступен и для физ. лиц, и для юр. лиц. Проверяется право владения доменом, регистрационные данные компании либо личность физ. лица. Выдается на 1 домен.


Обычный Wildcard — тоже самое, что и обычный сертификат, но выдается не на 1 домен, а на все поддомены корневого домена. Т.е. не только на example.com, a и на www.example.com, bill.example.com и т.д.


EV (Extended Validation) сертификат — сертификат расширенной проверки, доступен только юридическим лицам. Проверяется владение доменом, компания, нотариально заверенные переводы документов на английский язык, требует подтверждения данных третьей стороной. Позволяет установить на сайте картинку-подтверждение владением и отображается в браузерах как гарантированно доверенный (зеленым цветом), против желтого у обычных сертификатов. Стоит в 2-3 раза дороже обычного, регистрация занимает продолжительное время.


Instant и Essential сертификаты позиционируются как сертификаты для сайтов частных лиц и органзаций, не связанных с электронной коммерцией.

Extended Validation — для сайтов, связанных с финансами, услугами (интернет-банкинг, платежные системы, интернет-магазины и пр.).


Процесс перевода интернет-ресурса на протокол HTTPS не сложен технически, но требует соответствующих знаний и навыков. По времени это занимает порядка 3-10 дней. Рекомендуем не затягивать этот процесс, ведь с последствиями вы столкнётесь сразу после нового года.


Если у вас есть вопросы, обращайтесь, расскажем, подскажем и поможем :)


Ольга Данилина

Все статьи